電子フロンティア財団(EFF)が行った分析によると、スマートホームビジネスを刷新したRingは、ユーザーの個人アプリデータをさまざまな分析・マーケティング企業に送信している。
広く普及しているビデオドアベルの映像を警察に提供したことですでに非難を浴びているアマゾン傘下のこのメーカーは、ユーザーの電子メールアドレスやアプリ設定などの情報も第三者に販売しており、第三者はそれをパッケージ化して他者に販売しているようだ。
いつものように、FacebookとGoogleはまさにその渦中にあります。EFFによると、Facebookは「アプリが開かれたとき、そして画面がロックされた後に非アクティブ状態が続いた後にアプリが非アクティブになったときなど、デバイスが何らかのアクションを起こしたときに警告を受けます」。この反ソーシャルネットワークは、ユーザーのタイムゾーン、デバイスモデル、言語設定、画面解像度を学習し、ユーザーの携帯電話に接続してデータを追跡するための固有の識別子を取得します。
これらの詳細情報は、デバイス固有の指紋として利用でき、スマートフォン上の他のアプリ(特にFacebookアプリがインストールされている場合)から取得したデータと組み合わせることで、Facebookはユーザーが現在何をしているのか、どこにいるのかに関する包括的かつ常に更新されるプロフィールを構築できます。そして、それを集計して販売します。
Googleも同様だ。「RingはGoogleが所有する衝突ログサービスCrashalyticsにも情報を送信している」とEFFの分析で判明したが、「このサービスとのデータ共有の正確な範囲はまだ決定されていない」とも指摘している。
この分析はRingアプリのAndroid版で実施され、報告書の著者であるビル・バディントン氏はThe Regに対し、「Androidは比較的オープンなプラットフォームであるため、iOSよりもこうしたテストがはるかに容易です」と述べています。同社は現在、同社のiPhone/iOSアプリを調査する予定はありません。
その他のスラーパー
Ring アプリからデータを受け取る他のサードパーティには Branch が含まれます。Branch は、ユーザーを携帯電話に結び付けることができるさまざまな一意の識別子と、他のアプリから取得したその他のデータを受信します。
もう一つのパートナーは、データ会社AppsFlyerです。同社は、Ringアプリの物議を醸している「Neighbors」セクションにもアクセスしています。警察は、このセクションを利用して人々のカメラ映像を入手しています。AppsFlyerは、すべてのユーザーの携帯電話事業者、様々な固有識別子、そしてアプリのインストール日時や、同社が既に携帯電話を追跡しているかどうかといった詳細情報を収集しています。
しかし、最も多くのデータを入手しているのは、ユーザー名、メールアドレス、アプリと電話の設定、デバイス情報、その他多数の情報を含む、あるストーカーショップだ。その会社、MixPanelは、「月額89ドルから」支払う企業に「サイトとアプリ全体でのユーザー行動の分析」を提供している。
EFFがRingアプリが第三者と共有しているデータを特定するために、かなりの労力を費やした点は特筆に値します。すべてのデータは転送中に暗号化されていましたが(これは良いことです)、EFFは「暗号化された情報は分析を逃れる方法で配信されていた」と指摘しています。
このアプリは証明書ピンニングを使用しています。つまり、Android本体内のルート証明書リストを使用するのではなく、リモートサーバーに保管されている証明書を確認します。これも優れたセキュリティ強化と言えるかもしれませんが、同時に盗聴を防止し、アプリから送信される情報とその送信先を隠す効果もあります。ただし、証明書の保管場所(Facebook、MixPanelなど)を確認することは可能です。
研究者たちは、使用していた mitmproxy 分析ソフトウェアによって提供された証明書をアプリに強制的に信頼させるコードを挿入することで、このアプローチを破ることに成功しました。その時点で、どのような種類の情報が誰と共有されているかを確認することができました。
信頼の問題
Ringは、この情報が第三者と共有されることや、それらの企業が誰なのかをユーザーに対して明確にしていません。また、データ収集のオプトアウトも許可していません。言い換えれば、顧客が自宅に設置するハードウェアとソフトウェアに料金を支払っているRingにとって、これはまたしても汚点です。批判に対するRingの回答であるプライバシーダッシュボードは、「全くの冗談」と非難されています。
解雇の輪:アマゾン、ネットユーザーの監視カメラ映像を密かに盗聴した複数の従業員を解雇
続きを読む
「リングは顧客のセキュリティとプライバシーを最優先すると主張しているが、その主張は不十分であるだけでなく、リングの監視システムを利用する顧客やコミュニティのメンバーに損害を与えていることを我々は何度も目にしてきた」とEFFは結論付け、このアプリは「リングに対して責任を負わず、顧客とベンダーの関係に置かれた信頼に縛られない第三者に機密データを提供している」と指摘した。
EFFの調査結果について、Ring社とMixPanel社にコメントを求めており、回答が得られ次第、この記事を更新します。また、今週、Amazonが同様の行為を行った従業員を処罰すると示唆したことを受けて、350人以上の従業員が同社のポリシーを積極的に批判した投稿の中で、あるエンジニアがRing社に対して非常に否定的な見解を示したことも注目に値します。
「映像を一元的に照会できるコネクテッドホームセキュリティカメラの導入は、自由な社会とは全く相容れません。プライバシーの問題は規制で解決できるものではなく、両立させる方法もありません。Ringは直ちに閉鎖し、復活させるべきではありません」と彼は記した。®
追加更新
リング社の広報担当者は次のように語っている。「多くの企業と同様に、リング社はモバイルアプリの利用状況を評価するためにサードパーティのサービスプロバイダーを利用しており、これは機能の改善、顧客体験の最適化、マーケティングの効果評価に役立っています。」
「Ring は、サービス プロバイダーによる提供データの使用が、当社に代わってこれらのサービスを実行するなどの適切な目的に契約上限定され、他の目的には使用されないことを保証します。」
